Google izdanje web pretraživača ... Istovremeno stabilno izdanje besplatnog projekta , koji služi kao osnova Chrome-a. Chrome pretraživač upotreba Google logotipa, prisustvo sistema za slanje obavještenja u slučaju pada, mogućnost preuzimanja Flash modula na zahtjev, moduli za reprodukciju zaštićenog video sadržaja (DRM), sistem za automatsko instaliranje ažuriranja i prijenos tokom pretraživanja . Sljedeće izdanje Chrome 87 zakazano je za 17. novembar.
:
- Dodata zaštita od nesigurnog podnošenja obrazaca za unos na stranicama učitanim putem HTTPS-a, ali slanjem podataka putem HTTP-a, što stvara prijetnju presretanja i lažiranja podataka tokom MITM napada. Zaštita se svodi na tri promjene:
- Automatsko popunjavanje bilo kakvih mješovitih obrazaca za unos je onemogućeno, slično kao što je već neko vrijeme onemogućeno automatsko popunjavanje obrazaca za autentifikaciju na stranicama otvorenim putem HTTP-a. Ako je ranije znak za onemogućavanje bio otvaranje stranice sa formom putem HTTPS-a ili HTTP-a, sada se uzima u obzir i korištenje enkripcije pri slanju podataka obrascu. Menadžer lozinki za mješovite oblike provjere autentičnosti nije onemogućen, jer rizik od korištenja nesigurne lozinke i ponovnog korištenja lozinki na različitim lokacijama nadmašuje rizik od potencijalnog presretanja prometa.
- Prilikom početka unosa u mješovitim oblicima, prikazuje se upozorenje koje obavještava korisnika da se popunjeni podaci šalju putem nešifrovanog komunikacijskog kanala.
- Kada pokušate da pošaljete mešoviti obrazac, prikazuje se posebna stranica koja vas obaveštava o potencijalnom riziku od prenošenja podataka preko nešifrovanog kanala komunikacije. U prethodnim verzijama, indikator katanca u adresnoj traci je korišćen za označavanje mešovitih oblika, ali ova oznaka nije bila očigledna korisnicima i nije efektivno odražavala rizike koji su uključeni.
- Blokiranje (bez enkripcije) izvršnih datoteka dopunjeno je blokiranjem nesigurnog učitavanja arhiva (zip, iso, itd.) i prikazivanjem upozorenja za nesigurno učitavanje
dokumente (docx, pdf, itd.). Blokiranje dokumenata i upozorenja za slike, tekst i medijske datoteke se očekuju u sljedećem izdanju. Blokiranje je implementirano jer se preuzimanje datoteka bez enkripcije može koristiti za izvođenje zlonamjernih radnji zamjenom sadržaja tokom MITM napada. - Zadani kontekstni meni prikazuje opciju "Uvijek prikaži puni URL", koja je prethodno zahtijevala promjenu postavki na stranici about:flags da bi se omogućila. Cijeli URL se također može vidjeti dvostrukim klikom na adresnu traku. Podsjetimo to počevši od Podrazumevano, adresa je počela da se prikazuje bez protokola i www poddomena. IN postavka za vraćanje starog ponašanja je uklonjena, ali nakon nezadovoljstva korisnika Dodana je nova eksperimentalna zastavica koja dodaje opciju kontekstualnom izborniku za onemogućavanje skrivanja i prikazivanja punog URL-a u svim uvjetima.
- Pokrenuto za mali procenat korisnika na Adresna traka podrazumevano sadrži samo domenu, bez elemenata putanje i parametara upita. Na primjer, umjesto "https://example.com/secure-google-sign-in/" prikazat će se "example.com". Očekuje se da će predloženi mod biti predstavljen svim korisnicima u jednom od narednih izdanja. Da biste onemogućili ovo ponašanje, možete koristiti opciju "Uvijek prikaži puni URL", a da biste vidjeli cijeli URL, možete kliknuti na adresnu traku. Motiv promjene je želja da se korisnici zaštite od phishinga koji manipulira parametrima u URL-u - napadači iskorištavaju nepažnju korisnika da stvore privid otvaranja druge stranice i vršenja lažnih radnji (ako su takve zamjene očigledne tehnički kompetentnom korisniku , onda neiskusni ljudi lako nasjedaju na tako jednostavnu manipulaciju).
- Nastavljeno da uklonite podršku za FTP. U Chromeu 86, FTP je onemogućen prema zadanim postavkama za oko 1% korisnika, au Chromeu 87 opseg onemogućavanja će biti povećan na 50%, ali podrška se može vratiti pomoću "--enable-ftp" ili "- -enable-features=FtpProtocol" zastavica. U Chrome 88, podrška za FTP će biti potpuno onemogućena.
- U verziji za Android, slično verziji za desktop sisteme, menadžer lozinki implementira provjeru sačuvanih prijava i lozinki u odnosu na bazu podataka kompromitovanih naloga, prikazujući upozorenje ako se otkriju problemi ili se pokuša koristiti trivijalne lozinke. Provjera se vrši prema bazi podataka koja pokriva više od 4 milijarde kompromitovanih naloga koji su se pojavili u bazama podataka korisnika koji su procurili. Za održavanje privatnosti Haš prefiks se provjerava na strani korisnika, a same lozinke i njihovi puni hashovi se ne prenose eksterno.
- Dostupan i u Android verziji dugme “Sigurnosna provjera” i poboljšani način zaštite od opasnih lokacija (Poboljšano sigurno pretraživanje). Dugme "Sigurnosna provjera" prikazuje sažetak mogućih sigurnosnih problema, kao što su korištenje kompromitovanih lozinki, status provjere zlonamjernih lokacija (Sigurno pregledanje), prisustvo deinstaliranih ažuriranja i identifikacija zlonamjernih dodataka. Način napredne zaštite aktivira dodatne provjere za zaštitu od krađe identiteta, zlonamjernih aktivnosti i drugih prijetnji na webu, a uključuje i dodatnu zaštitu za vaš Google račun i Google usluge (Gmail, Drive, itd.). Ako se u normalnom načinu sigurnog pregledavanja provjere vrše lokalno koristeći bazu podataka koja se periodično učitava na klijentov sistem, tada se u poboljšanom sigurnom pregledavanju informacije o stranicama i preuzimanjima u realnom vremenu šalju na provjeru na Google strani, što vam omogućava da brzo odgovorite na prijetnje odmah nakon što su identificirane, bez čekanja da se ažurira lokalna crna lista.
- podrška za indikatorsku datoteku “.well-known/change-password”, pomoću koje vlasnici sajtova mogu odrediti adresu web obrasca za promjenu lozinke. Ako su akreditivi korisnika ugroženi, Chrome će sada odmah zatražiti od korisnika obrazac za promjenu lozinke na osnovu informacija u ovoj datoteci.
- Implementirano je novo upozorenje “Safety Tip” koje se prikazuje prilikom otvaranja sajtova čija je domena vrlo slična drugoj stranici i heuristika pokazuje da postoji velika vjerovatnoća lažiranja (npr. otvara se goog0le.com umjesto google.com).
- podrška za keš memoriju unazad, koja omogućava trenutnu navigaciju kada koristite dugmad „Nazad” i „Napred” ili kada se krećete kroz prethodno pregledane stranice trenutnog sajta. Keširanje je omogućeno pomoću postavke chrome://flags/#back-forward-cache.
- Izvršena je optimizacija potrošnje CPU resursa od strane windows-a
van delokruga. Chrome provjerava da li se prozor pretraživača preklapa s drugim prozorima i sprječava crtanje piksela u područjima preklapanja. Ova optimizacija je omogućena za mali procenat korisnika u Chrome 84 i 85 i sada je omogućena svuda. U poređenju sa prethodnim izdanjima, riješena je nekompatibilnost sa sistemima virtuelizacije koja je uzrokovala pojavljivanje praznih bijelih stranica. - Povećano obrezivanje resursa za kartice u pozadini. Takve kartice više ne mogu trošiti više od 1% CPU resursa i mogu se aktivirati najviše jednom u minuti. Nakon pet minuta rada u pozadini, kartice su zamrznute, osim kartica koje reproduciraju multimedijalni sadržaj ili snimaju.
- Raditi na HTTP zaglavlje User-Agent. U novoj verziji, podrška za mehanizam je aktivirana za sve korisnike , razvijen kao zamjena za User-Agent. Novi mehanizam uključuje selektivno vraćanje podataka o specifičnim parametrima pretraživača i sistema (verzija, platforma, itd.) tek nakon zahtjeva servera i davanje mogućnosti korisnicima da selektivno daju takve informacije vlasnicima stranica. Kada se koriste savjeti klijenta-korisničkog agenta, identifikator se po defaultu ne prenosi bez eksplicitnog zahtjeva, što onemogućuje pasivnu identifikaciju (podrazumevano je naznačeno samo ime pretraživača).
- Indikacija prisutnosti ažuriranja i potrebe za ponovnim pokretanjem pretraživača da biste ga instalirali je promijenjena. Umjesto obojene strelice, "Ažuriraj" se sada pojavljuje u polju avatar naloga.
- Radovi su obavljeni na pretvaranju pretraživača da koristi inkluzivnu terminologiju. U nazivima politike, riječi “bijela lista” i “crna lista” zamijenjene su sa “listom dopuštenja” i “listom blokiranih” (već dodane politike će nastaviti da rade, ali će prikazivati upozorenje da su zastarjele). IN и reference na "crnu listu" su zamijenjene sa "blocklist".
Korisnički vidljive reference na “crnu listu” i “bijelu listu” zamijenjene su početkom 2019. - Dodata eksperimentalna mogućnost uređivanja sačuvanih lozinki, aktivirana pomoću oznake “chrome://flags/#edit-passwords-in-settings”.
- Konvertirano u stabilan i javni API , koji vam omogućava da kreirate web aplikacije koje komuniciraju sa datotekama u lokalnom sistemu datoteka. Na primjer, novi API može biti tražen u integriranim razvojnim okruženjima baziranim na pretraživaču, uređivačima teksta, slika i videa. Da biste mogli direktno pisati i čitati datoteke ili koristiti dijaloge za otvaranje i spremanje datoteka, kao i za navigaciju kroz sadržaj direktorija, aplikacija traži od korisnika posebnu potvrdu.
- Dodan CSS selektor "“, koji koristi istu heuristiku koju koristi pretraživač kada odlučuje hoće li prikazati indikator promjene fokusa (kada se fokus pomjeri na dugme pomoću prečica na tastaturi, indikator se pojavljuje, ali kada se klikne mišem, ne). Ranije dostupan CSS selektor ":focus" uvijek ističe fokus.
Dodatno, u postavke je dodana opcija “Quick Focus Highlight”, kada je omogućena, pored aktivnih elemenata će se prikazati dodatni indikator fokusa, koji ostaje vidljiv čak i ako su elementi stila za vizuelno isticanje fokusa onemogućeni na stranici putem CSS-a . - Nekoliko novih API-ja je dodano u Origin Trials mod (eksperimentalne funkcije koje zahtijevaju odvojenu aktivaciju). Origin Trial podrazumijeva mogućnost rada sa navedenim API-jem iz aplikacija preuzetih sa localhost ili 127.0.0.1, ili nakon registracije i primanja posebnog tokena koji važi ograničeno vrijeme za određenu lokaciju.
- za pristup na niskom nivou HID uređajima (ljudski interfejs uređaji, tastature, miševi, gamepadi, dodirni paneli), što vam omogućava da implementirate logiku rada sa HID uređajem u JavaScript-u kako biste organizovali rad sa retkim HID uređajima bez prisustva specifičnih drajvera u sistemu.
Prije svega, novi API je usmjeren na pružanje podrške za gamepadove. - , proširuje API za postavljanje prozora da podrži konfiguracije na više ekrana. Za razliku od window.screen, novi API vam omogućava da manipulišete postavljanjem prozora u celokupni ekranski prostor sistema sa više monitora, bez ograničenja na trenutni ekran.
- Meta tag , pomoću kojih stranica može obavijestiti pretraživač o potrebi za aktiviranjem načina rada za smanjenje potrošnje energije i optimizaciju opterećenja CPU-a.
- API prijaviti potencijalno kršenje propisa o izolaciji (COEP) i (COOP), bez primjene stvarnih ograničenja.
- U API-ju predložena je nova vrsta akreditiva , pružajući dodatnu potvrdu izvršene platne transakcije. Pouzdana strana, kao što je banka, ima mogućnost da generiše javni ključ, PublicKeyCredential, koji trgovac može zatražiti za dodatnu sigurnu potvrdu plaćanja.
- za pristup na niskom nivou HID uređajima (ljudski interfejs uređaji, tastature, miševi, gamepadi, dodirni paneli), što vam omogućava da implementirate logiku rada sa HID uređajem u JavaScript-u kako biste organizovali rad sa retkim HID uređajima bez prisustva specifičnih drajvera u sistemu.
- U API-ju da bi se odredio nagib olovke, dodana je podrška za visinske uglove (ugao između olovke i ekrana) i azimut (ugao između ose X i projekcije olovke na ekran), umesto za TiltX i Uglovi nagiba Y (uglovi između ravnine od olovke i jedne od osi i ravni od Y i Y osa Z). Također su dodane funkcije konverzije između nadmorske visine/azimuta i TiltX/TiltY.
- Promijenjeno je kodiranje prostora u URL-ovima prilikom izračunavanja u obrađivačima protokola - metoda navigator.registerProtocolHandler() sada zamjenjuje razmake sa "%20" umjesto "+", što objedinjuje ponašanje sa drugim pretraživačima kao što je Firefox.
- Dodan CSS pseudo-element "", koji vam omogućava da prilagodite boju, veličinu, oblik i vrstu brojeva i tačaka za oglase u blokovima I .
- Dodata podrška za HTTP zaglavlje , pravila za pristup dokumentima, slična mehanizmu izolacije sandbox-a za iframeove, ali su univerzalnija. Na primjer, putem Document-Policy možete ograničiti korištenje slika niske kvalitete, onemogućiti spore JavaScript API-je, konfigurirati pravila za učitavanje iframeova, slika i skripti, ograničiti ukupnu veličinu dokumenta i promet, zabraniti metode koje dovode do ponovnog crtanja stranice, onemogućiti funkcija .
- To element dodata podrška za 'inline-grid', 'grid', 'inline-flex' i 'flex' parametre postavljene preko 'display' CSS svojstva.
- Dodata metoda za zamjenu svih djece roditeljskog čvora sa drugim DOM čvorom. Ranije ste mogli koristiti kombinaciju node.removeChild() i node.append() ili node.innerHTML i node.append() za zamjenu čvorova.
- raspon URL šema koje je dozvoljeno zaobići korištenjem registerProtocolHandler(). Lista šema uključuje decentralizovane protokole cabal, dat, did, dweb, ethereum, hyper, ipfs, ipns i ssb, koji vam omogućavaju da definišete veze do elemenata bez obzira na lokaciju ili gateway koji omogućava pristup resursu.
- U API-ju dodata podrška za tekst/html format za kopiranje i lijepljenje HTML-a putem međuspremnika (opasne HTML konstrukcije se čiste prilikom pisanja i čitanja u međuspremnik). Promjena vam, na primjer, omogućava da organizirate umetanje i kopiranje formatiranog teksta sa slikama i vezama u web editorima.
- U WebRTC-u mogućnost povezivanja vlastitih rukovatelja podacima koji se pozivaju u fazama kodiranja ili dekodiranja WebRTC MediaStreamTrack. Na primjer, ova mogućnost se može koristiti za dodavanje podrške za end-to-end enkripciju podataka koji se prenose preko posrednih servera.
- U JavaScript engine V8 za 75% implementacija Number.prototype.toString. Dodano svojstvo .name asinkronim klasama sa praznom vrijednošću. Metoda Atomics.wake je uklonjena, koja je jedno vrijeme preimenovana u Atomics.notify kako bi bila u skladu sa ECMA-262 specifikacijom. Otvoren kod kompleta alata za fuzzing testiranje .
- Liftoff osnovni kompajler za WebAssembly, objavljen u posljednjem izdanju, uključuje mogućnost korištenja vektorskih instrukcija za ubrzanje proračuna. Sudeći po testovima, optimizacija je omogućila ubrzanje nekih testova za 2.8 puta. Još jedna optimizacija učinila je mnogo bržim pozivanje uvezenih JavaScript funkcija iz WebAssembly-a.
- alati za web programere: Medijski panel je dodao informacije o igračima koji se koriste za reprodukciju videa na stranici, uključujući podatke o događajima, zapisnike, vrijednosti svojstava i parametre dekodiranja okvira (na primjer, možete odrediti uzroke gubitka okvira i probleme u interakciji iz JavaScripta).
U kontekstualnom meniju panela Elementi dodana je mogućnost kreiranja snimaka ekrana izabranog elementa (na primer, možete kreirati snimak ekrana sadržaja ili tabele).
U web konzoli, tabla upozorenja o problemu zamijenjena je običnom porukom, a problemi s kolačićima trećih strana su prema zadanim postavkama skriveni na kartici Problemi i omogućeni su posebnim okvirom za potvrdu.
Na kartici Rendering dodano je dugme "Onemogući lokalne fontove" koje vam omogućava da simulirate odsustvo lokalnih fontova, a na kartici Senzori sada možete simulirati neaktivnost korisnika (za aplikacije koje koriste API za detekciju mirovanja).
Tabla aplikacija pruža detaljne informacije o svakom iframe-u, otvorenom prozoru i iskačućem prozoru, uključujući informacije o izolaciji više izvora koristeći COEP i COOP.
- zamjena implementacije protokola na opciju razvijenu u IETF specifikaciji, umjesto na Google QUIC opciju.
Pored inovacija i ispravki grešaka, nova verzija eliminiše . Mnoge ranjivosti su identifikovane kao rezultat automatizovanog testiranja pomoću alata , , , и . Jedna ranjivost (CVE-2020-15967, pristup oslobođenoj memoriji u kodu za interakciju sa Google Payments-om) je označena kao kritična, tj. omogućava vam da zaobiđete sve nivoe zaštite pretraživača i izvršite kod na sistemu izvan okruženja sandbox-a. Kao dio programa za isplatu novčanih nagrada za otkrivanje ranjivosti za trenutno izdanje, Google je isplatio 27 nagrada u vrijednosti od 71500 dolara (jedna nagrada od 15000 dolara, tri nagrade od 7500 dolara, pet nagrada od 5000 dolara, dvije nagrade od 3000 dolara, jedna nagrada od 200 dolara i dvije nagrade od 500 dolara). Veličina od 13 nagrada još nije određena.
izvor: opennet.ru